PHP实现的限制IP投票程序IP来源分析

更新时间：2016年05月04日 09:49:33 作者：看那边

这篇文章主要介绍了PHP实现的限制IP投票程序,针对投票程序中客户端IP的判断方法进行了深入分析,并给出了伪造IP的方法供大家参考了解,需要的朋友可以参考下

本文实例分析了PHP实现的限制IP投票程序。分享给大家供大家参考，具体如下：

接到一个投票活动的需求，需要做IP限制，每个IP限制一定的投票机会。我在搜索引擎上搜索了关键词：PHP客户端IP ，结果基本上都是以下内容：

if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
   $onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
   $onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
   $onlineip = getenv('REMOTE_ADDR');
} elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
   $onlineip = $_SERVER['REMOTE_ADDR'];
}

这段代码在使用广泛的《discuz》论坛软件，以及众多开放源代码的PHP软件里都会有使用到，大致思路是获取最终的客户端IP地址（能获得使用代理访问的用户的IP地址）。

由于很多成熟的程序都使用了这段代码获取客户端IP地址，所以我也就放心的运用在了程序里，好在后来有同事提醒，发现这段代码不能用在限制IP的投票程序里，因为 HTTP_X_FORWARDED_FOR这个是可以伪造的，只要在请求头里增加 X-Forwarded-For 。在服务器端的 $_SERVER[‘HTTP_X_FORWARDED_FOR'] 接收到的就是这个请求头的内容。

下面我用程序说明一下：

http://localhost/i.php 内容是通过上面的代码获取IP地址，并打印出来。

编写构造请求的代吗，请求这个URL：其中在请求头里增加了X-Forwarded-For这个参数：

$head = array();
$head[] = 'GET /i.php HTTP/1.1';
$head[] = 'Host: localhost';
$head[] = 'X-Forwarded-For: 255.255.255.255' ;
$head[] = 'Connection: Close' ;
$head = join("rn",$head) ;
$head .= "rnrn";
$fp = fsockopen('localhost', 80);
fwrite($fp, $head);
$response = array() ;
while($buff = fread($fp, 4096)){
   $response[] = $buff;
}
print join('',$response) ;

执行这段代码，可以得知，服务器端(localhost/i.php) 打印了 255.255.255.255 。
说明了这种获取客户端IP的方法在限制IP的投票活动里是不可取的，客户端的IP地址可用伪造。而直接使用 $_SERVER['REMOTE_ADDR'] 虽然获取到的不是用户的最终IP地址，但是限制的功能是直接有效的达到了。

当然，也不能说那段代码是错误的。在一些对IP不做限制的需求里，应该使用，比如，在一些有很多地域性子网站的网站，通过用户访问的IP，直接跳转到该用户所在区域的子网站等。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php curl用法总结》、《php socket用法总结》、《PHP网络编程技巧总结》、《PHP基本语法入门教程》、《php操作office文档技巧总结(包括word,excel,access,ppt)》、《php日期与时间用法总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

您可能感兴趣的文章:

[企业公众号]升级到[企业微信]之后发送消息失败的解决方法
这篇文章主要介绍了[企业公众号]升级到[企业微信]之后发送消息失败的解决方法,涉及微信接口的修改相关操作,需要的朋友可以参考下
2017-06-06
使用PHPExcel操作Excel用法实例分析
这篇文章主要介绍了使用PHPExcel操作Excel用法,实例分析了使用PHPExcel进行读写及生成等常用技巧,非常具有实用价值,需要的朋友可以参考下
2015-03-03
PHP以及MYSQL日期比较方法
MYSQL有日期函数now()，这个值返回的不是时间戳，而是类似2010-10-1 12：12：12类似的， PHP有日期函数date()，date("Y-m-d",time())返回当前的时间，如果单纯用time()，则返回的是当前时间，比方说17等数字
2012-11-11
php微信开发之批量生成带参数的二维码
这篇文章主要介绍了php微信开发之批量生成带参数的二维码的相关资料,需要的朋友可以参考下
2016-06-06
php基于mcrypt的加密解密实例
这篇文章主要介绍了php基于mcrypt的加密解密的实现方法,以实例形式分析了mcrypt加密解密的原理与具体实现方法,非常具有实用价值,需要的朋友可以参考下
2014-10-10
PHP输出图像imagegif、imagejpeg与imagepng函数用法分析
这篇文章主要介绍了PHP输出图像imagegif、imagejpeg与imagepng函数用法,结合实例形式较为详细的分析了imagegif()、imagejpeg()、imagepng()和imagewbmp()函数的功能、参数含义及使用技巧,需要的朋友可以参考下
2016-11-11
php采集时被封ip的解决方法
最近各种网站的采集程序写的比较多，遇到在采某网站时采到100多条时突然发现对方的网站打不开了，猜到肯定被封ip了，用了代理还是会封，这不是办法。
2010-08-08
php实现异步数据调用的方法
这篇文章主要介绍了php实现异步数据调用的方法，分享了4种PHP异步执行的常用方式，感兴趣的小伙伴们可以参考一下
2015-12-12
100行PHP代码实现socks5代理服务器
这个例子说了in the real world, do something here to ensure clients not running are destroyed 但是，如何把不再运行的连接销毁却没有讲。恩。我试了把$clients放到一个类里，把类传给线程类，然后在线程类要结束时把$clients里对应的连接给unset掉，无果。
2016-04-04
PHP扩展Memcache分布式部署方案
memcached虽然称为“分布式”缓存服务器，但服务器端并没有“分布式”功能。服务器端仅包括内存存储功能，其实现非常简单。至于memcached的分布式，则是完全由客户端程序库实现的。这种分布式是memcached的最大特点。
2015-12-12